Większość instalacji systemu WordPress korzysta z nieszyfrowanego protokołu http. Oznacza to, że każdy kto posiada dostęp do przesyłanych przez nas danych logowania może podejrzeć nazwę użytkownika i hasło. Taki podsłuch danych może być zrealizowany w firmie gdzie dość łatwo można zainstalować rejestrator ruchu. Poza siecią firmową podsłuchu mogą dokonywać hakerzy a prawdopodobieństwo włamania rośnie wraz ze wzrostem znaczenia firmy na rynku.

Standardowo przeglądarka (Firefox) wyświetla ostrzeżenie o zagrożeniu przechwycenia danych logowania. Oczywiście wdrożenie https rozwiązuje ten problem ale czy istnieją inne metody przeciwdziałania?

Otóż tak, możemy skorzystać z dwuetapowej weryfikacji. Polega ona na weryfikacji logowania na dwóch różnych urządzeniach. Najpopularniejsze to telefony komórkowe. Tak więc każde logowanie oprócz podania hasła wymaga potwierdzenia na telefonie.

Wtyczka WordPress DUO

Testowaliśmy plugin do WordPressa o nazwie DUO. Jest to opcja, która może całkowicie bezpłatnie obsłużyć nam do 10 użytkowników. Do działania potrzebna jest rejestracja na stronie DUO i zainstalowanie w telefonie specjalnej aplikacji do weryfikacji logowania. Włączenie pluginu powoduje, że po wpisaniu hasła jesteśmy kierowani do strony weryfikacyjnej. Po wybraniu „Send Me a Push” na telefonie pojawia się prośba o potwierdzenie logowania i następnie użytkownik zostaje zalogowany.

Należy zauważyć, że DUO może pełnić ważną rolę również na stronach dostępnych przez https. Bo kradzieży hasła można dokonać nie tylko podsłuchując dane na łączach. Można takie hasło odkryć korzystając z socjotechniki. Można podpatrzeć, podsłuchać albo spróbować złamać metodą brute-force. Ale dzięki DUO sama znajomość hasła nie wystarczy do zalogowania się do WordPressa.

W przypadku uszkodzenia telefonu wystarczy posiadać kartę SIM i skorzystać z opcji przesłania kodów SMS-em (Enter Passcode). A w przypadku utraty karty SIM DUO umożliwia wygenerowanie kodów dostępowych, które można przesłać czy przedyktować użytkownikowi przez telefon. Tak więc w każdej sytuacji użytkownik będzie mógł skorzystać z dwuetapowej weryfikacji.

A na marginesie lista aplikacji, które zabezpiecza DUO jest długa. Dodatkowo dostępne są biblioteki umożliwiające zabezpieczenie autorskich aplikacji webowych dostępne w językach Python, Ruby, Classic ASP, ASP.NET, Java, PHP, Node.js, ColdFusion, and Perl.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *